Re: Netzwerkumgebung deaktivieren?

Hi Daniel,

On Wed, 26 Oct 2005 16:43:28 +0200, Daniel Melanchthon [MSFT] wrote:

> Ich bin bei "Ich möchte einen Server per RDP freigeben(,) auf welchem sich
> Domänenbenutzer remote (z.B. von zu Hause aus) anmelden können und auch
> ihre Netzlaufwerke gemappet bekommen." davon ausgegangen, dass Du ein VPN
> implementierst.

Negativ, ich meinte damit das Mappen der Netzlaufwerke am TS. User XY
meldet sich über RDP (abgesichert - wie auch immer) am TS mit seinem
Domänenaccount an und bekommt sein Homedir etc. in der TS Session gemappt
-> Das ist das Minimalziel.

>> Ist RDP nicht ausreichend sicher?
>
> RDP allein nein. Zumindest die Absicherung mit TLS wäre Pflicht -

OK, Google ist voll von Mitteilungen über eine Schwachstelle des RDP
Protokolls. TLS würde schon mal den Server authentifizieren aber...

> besser
> die Verlagerung in ein VPN, damit nicht Rdui Böse aus Timbuktu schonmal bis
> zum Terminal Server Logon Dialog kommt.

....dieses Problem bleibt auch mit TSL bestehen, so weit ich das überblicken
kann. Und ich kenne meine Papenheimer, mit etwas Backroundinfo wie die
Katze oder der Hund daheim heisst, ist der Zugang schon so gut wie sicher.
Eine strenge PasswortPolicy scheint mir auch hier eine trügerische
Sicherheit zu sein.

Wieder ein Argument für VPN, gut das wir's angesprochen haben. An was man
alles denken muss - unglaublich. MITM Attacken, DoS Angriffe und hast du
nicht gesehen. Sch... Enterprise IT <grmpfl> ;-)

> Portbasierende Anmeldung an einer
> Firewall wäre auch eine Möglichkeit - ich weiß aber nicht, ob die Bintec
> das kann.

Der innere Router ist ein ISA, ich habe eh vor das Ganze dort zu
terminieren, bei OWA und RPCoverHTTPS wird auch nur SSL vom Bintec zum ISA
geforwardet, da bin ich relativ schmerzbefreit. Der Bintec deckt bislang
nur den FTP Server ab, der in der DMZ steht. Auf diesen wird auch von
intern nur über FTP zugegriffen, zumindest *dass* sollte passen ;-)

Auch müsste man noch die Performance eines VPN Tunnels testen, wenn dieser
auch am ISA terminiert wird. Der ISA ist hardwareseitig topaktuell (3,0 GHz
CPU; 1GB RAM)

> Siehe dazu auch:
>
> Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of Service
> http://www.microsoft.com/technet/security/bulletin/MS05-041.mspx

Jupp, wie schon gesagt, das Internet ist voll davon.

> Neben dem Patch gibt es als Workarounds für die Remote Desktop Protocol
> Vulnerability: "Help secure Remote Desktop Connections by using a virtual
> private network (VPN) connection."

"Disable Terminal Services, Remote Desktop, Remote Assistance, and Windows
Small Business Server 2003 Remote Web Workplace feature if they are no
longer required."

"Block TCP port 3389 at the enterprise perimeter firewall"

....mögen zwar wirkunsvolle Workarounds sein. Aber so komme ich auch nicht
wirklich weiter ;-)

> [...]
> Solange die User nur auf 3389 zugreifen können, hast Du eigentlich einen
> sehr kleinen Angriffsvektor. Sasser & Co. könnten sich z.B. darüber nicht
> weiterverbreiten.
> [...]

Ein Etappenziel wäre somit erreicht.

Fazit: RDP alleine ist auf alle Fälle unsinn. VPN alleine ist - zumindest
mir - auch zu gefährlich. Mit RDP/TSL hätte ich die halbe Miete im Sack.
Und das Ganze via VPN, gefiltert auf den/die nötigen Ports für RDP/TSL wäre
dann der Königsweg. Na gut... ;-)

Noch eine Frage zur Performance von VPN -> Ein weiteres meiner Argumente
dagegen. Bei einer reinen VPN Sitzung wird AFAIK der gesamte SMB Traffic
zwischen Client und Server getunnelt, dass die Performance auch bei einer
schnellen Hardware aber bei einer (nur) 2MBit Leitung dadurch stark leidet,
liegt auf der Hand.

Die ganze TS Geschichte würde, sofern ich sie richtig verstanden habe,
wesentlich schneller ablaufen, da quasi nur die Bildschirmdaten zwischen
Client und Server ausgetauscht werden. Wenn ich das Ganze jetzt noch in
einen VPN-Tunnel packe, müsste ich sozusagen /netto/ immer noch mehr
Performance haben als wenn ich den ganzen SMB-Traffic durch den VPN Tunnel
quetsche, isn't it?

Man wäre ja auch bereit seine Meinung mal zu ändern, wenn´s der Sache
dienlich ist... ;-)


THX & Bye Tom

--
"Erfahrung ist, was man bekommt nachdem man sie gebraucht hätte"
.

Relevant Pages

  • Re: Remote Access and ISA Server in SBS 2003?
    ... I am glad to hear the Remote Access Wizard is working fine now. ... there is no difference in VPN between SBS 4.5 and SBS ... Error Message: VPN Connection Error 800: Unable to Establish Connection ... the external NIC of the SBS Server. ...
    (microsoft.public.windows.server.sbs)
  • RE: SBS 2003 sudden services problem over router based vpn
    ... I understand that your remote cannot receive POP3 emails through VPN ... SBS Server through routers. ...
    (microsoft.public.windows.server.sbs)
  • Re: VPN clients unable to connect to other resources.
    ... gateway matches the IP of the remote client, and DNS and WINS point to the ... remote (although it takes close to a minute to connect, ... This is just regular Windows VPN, ... VPN server, remote routing and access running on the SBS 2003 server ...
    (microsoft.public.windows.server.sbs)
  • RE: Remote connectivity problems
    ... do you mean you have added a remote client to SBS ... If you have hardware VPN tunnel setup using Linksys or others, ... In this scenario you have to configure the SBS Server computer to enable ...
    (microsoft.public.windows.server.sbs)
  • Re: Connecting a remote workstation to a domain
    ... If you have more than a couple of remote workstations connecting to the SBS ... server via VPN, you really need to consider a Terminal Server in the main ... "Log in using a dial up connection" checkbox, ... roaming profile then synchronizes with the server over the VPN); ...
    (microsoft.public.windows.server.sbs)